Fortinet Global Threat Landscape Report: кибер-злоумышленники повышают ставку на тактики обхода и противодействие анализу с целью избежания обнаружения

Индекс угроз Fortinet Threat Landscape Index обновляет свой исторический максимум, свидетельствуя о продолжении роста числа кибератак

Москва, 7 августа 2019 года

Короткое содержание: 

Fortinet® (NASDAQ: FTNT), мировой лидер в области глобальных интегрированных и автоматизированных архитектур безопасности, сегодня объявила результаты своего очередного ежеквартального исследования глобальных угроз Global Threat Landscape Report.

  • Исследование показывает, что киберпреступники продолжают искать новые возможности для осуществления атак по всей поверхности цифровых структур используют тактики обхода, а также методы противодействия анализу, которые делают их атаки еще более изощренными
  • Индекс угроз Threat Landscape Index в этом квартале обновил свой исторический максимум и увеличился почти на 4% от изначального значения по сравнению с прошлым годом. Высокий балл за этот промежуток стал пиковым значением и был зафиксирован на момент закрытия второго квартала 2019 года. Увеличение этого показателя обусловлено ростом активности вредоносных программ и эксплойтов
  • С более подробным разбором индекса Threat Landscape Index и его подиндексом, а также анализом эксплойтов, вредоносного кода и ботнета и другими важными выводами для руководителей по информационной безопасности можно ознакомиться в нашем блоге. Ниже приведены основные выводы из отчета.

 Фил Квэйд (Phil Quade), директор по информационной безопасности в Fortinet:

«Постоянно расширяющееся разнообразие и изощренность методов атак, которые используют сегодня злоумышленники, напоминают нам о том, что киберпреступники всегда стараются использовать скорость и улучшающиеся возможности подключения в своих интересах. Поэтому при организации защиты важно следовать тем же принципам и постоянно расставлять приоритеты в этих важных аспектах кибербезопасности – таким образом организация сможет эффективнее управлять киберугрозами и минимизировать киберриски. Но чтобы работа по этим ключевым аспектам безопасности приносила свои плоды, организациям важно использовать в отношении каждого элемента своей инфраструктуры безопасности комплексный платформенный подход, который включает в себя сегментацию и интеграцию, действенный анализ угроз и автоматизацию в сочетании с машинным обучением».

 Рост ставок на тактики обхода

 Многие современные вредоносные инструменты уже включают в себя функции для обхода антивирусов или уклонения от других инструментов для обнаружения угроз, при этом, стараясь избежать обнаружения, злоумышленники становятся все более изощренными в своих методах запутывания и противодействия анализу.

Например, недавняя спам-кампания показывает, как злоумышленники используют и модернизируют эти методы противодействия защите. Кампания включает в себя создание фишинговых писем с вложениями, которые по сути являются зараженными Excel документами с вредоносным макросом. Этот макрос способен отключать инструменты безопасности и выполнять произвольные команды, вызывая проблемы с памятью, при этом макрос работает только на компьютерах японских пользователей. Кроме того, одним из свойств, которые в частности использует этот макрос, является незадокументированное свойство xlDate.

Другой пример включает в себя вариант банковского троянcкого вируса Dridex, который изменяет имена и хэши файлов при каждом входе жертвы в систему, что затрудняет обнаружение вредоносного ПО на зараженных хост-системах.

Растущая популярность методов противодействия анализу и все новые тактики обхода служат напоминанием о необходимости многоуровневого подхода к защите и об актуальности средств обнаружения, основанных на анализе поведения.

 Противодействие сканированию на больших расстояниях

 Вредоносная программа Zegost, созданная для хищения данных, стала ключевым элементом целенаправленной фишинговоой кампании с применением не совсем обычных методов. Как и у других программ, похищающих данные пользователей, основная цель Zegost заключается в сборе информации об устройстве жертвы и доставке этой информации злоумышленнику. При этом в отличие от других подобных программ, Zegost сконфигурирован таким образом, чтобы оставаться незамеченным. Например, Zegost использует функции для очистки журналов событий. Такие возможности доо сих пор не наблюдались в обычных вредоносных программах. Еще одной любопытной особенностью в Zegost стали его способности обхода защиты, и, в частности, команда, позволяющая этой вредоносной программе оставаться в состоянии покоя до 14 февраля 2014 года, после чего запускался основной вредоносный код.

Злоумышленники, создавшие Zegost, используют весь арсенал эксплойтов, чтобы устанавливать и поддерживать соединение с системами жертв, что делает эту угрозу намного более долгосрочной по сравнению с другими угрозами, представленными сегодня.

 Программы-вымогатели все активнее используются для более таргетированных атак

 Атаки, нацеленные сразу на несколько городов, на местные органы власти и образовательные учреждения служат напоминанием о том, что программы-вымогатели никуда не уходят и по-прежнему продолжают представлять серьезную угрозу для многих организаций. Атаки с использованием программ-вымогателей продолжают меняться и теперь уже не носят тот массовый, приспособленческий характер, но все чаще нацелены на конкретные организации, которые по, мнению злоумышленников, в состоянии заплатить выкуп, или для которых выкуп станет более удобным и эффективным решением проблемы. В некоторых случаях киберпреступники провели значительную работу по зондированию почвы, и только затем начали разворачивать свои программы-вымогатели на тщательно отобранных системах, чтобы максимально использовать возможности.

Например, программа-вымогатель RobbinHood предназначена для атаки на сетевую инфраструктуру организации и способна отключать сервисы Windows, предотвращающие шифрование данных, а также отключать сетевые ресурсы.

Еще одна более свежая программа-вымогатель под названием Sodinokibi способна стать новой угрозой для организаций. Функционально она не очень отличается от большинства инструментов вымогателей. Основная ее изюминка заключается в векторе атаки, который использует более новую уязвимость, которая допускает выполнение произвольного кода и не требует какого-либо взаимодействия с пользователем, как другие вымогатели, доставляемые вместе с фишинговой электронной почтой.

Независимо от вектора атаки, программы-вымогатели по-прежнему представляют серьезную угрозу для организаций, выступая напоминанием о необходимости установки обновлений безопасности и повышения осведомленности пользователей. Кроме того, уязвимости протокола удаленного рабочего стола (RDP), такие как BlueKeep, являются предупреждением о том, что службы удаленного доступа могут открывать новые возможности для киберпреступников и могут также использоваться в качестве вектора атаки для распространения программ-вымогателей.

Новые возможности на цифровой поверхности атаки

 Между домашними принтерами и критически важной инфраструктурой сегодня также появляется растущая линейка систем управления для дома и малого бизнеса. Эти интеллектуальные системы привлекают сравнительно меньше внимания со стороны злоумышленников, чем их промышленные аналоги, но и это может измениться с учетом возросшей хакерской активности, наблюдаемой в отношении таких устройств, как системы управления окружающей средой, камеры видеонаблюдения и системы безопасности. Было обнаружено, что уязвимость, связанная с решениями для управления зданием, сработала в 1% организаций, что может показаться незначительным, но этот показатель выше, чем обычно для продуктов ICS или SCADA.

Киберпреступники ищут новые возможности для захвата управления устройствами контроля в домах и на предприятиях. Иногда эти типы устройств не являются такими приоритетными, как другие, или выходят за рамки традиционного управления ИТ. Безопасность интеллектуальных жилых систем и систем малого бизнеса заслуживает повышенного внимания, особенно потому, что доступ злоумышленника к таким системам может иметь серьезные последствия для безопасности. Это особенно актуально для удаленных рабочих сред, где важен безопасный доступ. 

Как защитить вашу организацию: глобальная интегрированная и

автоматизированная архитектура безопасности

Динамический, упреждающий и осуществляемый в режиме реального времени анализ угроз позволяет выявлять тенденции, в частности, меняющийся характер методов атак, ориентированных на поверхность цифровой структуры а также позволяет расставлять приоритеты в отношении кибергигиены. Ценность анализа угроз и способность принимать меры на основании этих данных значительно снижаются, если их нельзя реализовать в режиме реального времени на каждом устройстве безопасности. Только комплексный, интегрированный и автоматизированный подход к безопасности может обеспечить защиту всего сетевого окружения, от IoT до периферии, ядра сети и мультиоблачной инфраструктуры, с сохранением высокой скорости и масштабности.

Подробнее об исследовании и индексе

В квартальном отчете о глобальном исследовании угроз Fortinet представлены данные, собранные отделом  FortiGuard Labs, с помощью обширной сети датчиков во 2-м квартале 2019 года. Сбор данных осуществлялся в глобальном и региональном масштабах. В отчет также включен индекс угроз Fortinet Threat Landscape Index (TLI), состоящий из индивидуальных индексов для трех основных и дополнительных аспектов кибер-безопасности – эксплойтов, вредоносного кода и бот-сетей, которые позволяют судить об их распространенности и объеме в текущем квартале.

Дополнительные материалы

  • Более подробную информацию о исследование смотрите в нашем блоге.
  • Подробнее о том, как платформаFortinet’s Security Fabric обеспечивает комплексную, интегрированную и автоматизированную защиту в масштабах всей цифровой поверхности атаки, от IoT до периферии, на уровне ядра сети и в мультиоблачной инфраструктуре.
  • Подробнее об отделе FortiGuard Labs и о портфолио сервисов безопасности FortiGuard Security Services.
  • Подробнее о сервисе оценки безопасности FortiGuard Security Rating Service, который обеспечивает аудит безопасности и доступ к передовым практикам.
  • Подробнее о программах Fortinet Network Security Expert program, Network Security Academy program и FortiVets program.
  • Следите за Fortinet в Twitter, LinkedIn, Facebook, YouTube и Instagram.

Подробнее о Fortinet

Компания Fortinet (NASDAQ: FTNT) обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру. Fortinet предлагает систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз. Продукты нашей компании легко подстраиваются под растущие требования к производительности, что соответствует последней тенденции развития сетей, не ограниченных никакими рамками. Инновационная архитектура экосистемы Fortinet Security Fabric позволяет обеспечить безопасность без компромиссов и решить наиболее важные вопросы, связанные с защитой сетевых сред, приложений, облачных сетей и мобильных устройств. Компания Fortinet занимает 1-е место по количеству проданных средств безопасности и обеспечивает защиту более 415 000 клиентов по всему миру.

https://www.fortinet.com/ru

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку